UNIVERSIDAD AGRARIA DEL ECUADOR
FACULTAD CIENCIAS AGRARIAS
CARRERA DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN
TEMA:
implementación de seguridad de VLAN
INTEGRANTES:
BARCIA INTRIAGO JOSÉ ALEJANDRO
CONTRERAS BAQUE PAMELA ELIZABETH
HANNA FRANCO ALLA
PUYA CASTRO JOSUE ENRIQUE
DOCENTE:
ING. VÁQUEZ BERMÚDEZ
PERIODO: 2020-2021
GUAYAQUIL - ECUADOR
�Práctica de laboratorio: implementación de seguridad de VLAN
Práctica de laboratorio: implementación de seguridad de VLAN
Topología
Tabla de direccionamiento
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
S1 VLAN 99 172.17.99.11 255.255.255.0 172.17.99.1
S2 VLAN 99 172.17.99.12 255.255.255.0 172.17.99.1
PC-A NIC 172.17.99.3 255.255.255.0 172.17.99.1
PC-B NIC 172.17.10.3 255.255.255.0 172.17.10.1
PC-C NIC 172.17.99.4 255.255.255.0 172.17.99.1
Asignaciones de VLAN
VLAN Nombre
10 Datos
99 Management&Native
999 BlackHole
Objetivos
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: implementar seguridad de VLAN en los switches
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Información básica/situación
La práctica recomendada indica que se deben configurar algunos parámetros básicos de
seguridad para los puertos de enlace troncal y de acceso en los switches. Esto sirve como
protección contra los ataques de VLAN y la posible detección del tráfico de la red dentro de
esta.
En esta práctica de laboratorio, configurará los dispositivos de red en la topología con
algunos parámetros básicos, verificará la conectividad y, a continuación, aplicará
medidas de seguridad más estrictas en los switches. Utilizará varios comandos show
para analizar la forma en que se comportan los switches Cisco. Luego, aplicará
medidas de seguridad.
Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s
con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros
switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de
Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los
que se muestran en las prácticas de laboratorio.
Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de
inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios
• 2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
• 3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal,
como Tera Term)
• Cables de consola para configurar los dispositivos con IOS de Cisco mediante los
puertchos de consola
• Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos
En la parte 1, configurará los parámetros básicos en los switches y las computadoras.
Consulte la tabla de direccionamiento para obtener información sobre nombres de
dispositivos y direcciones.
Paso 1. realizar el cableado de red tal como se muestra en la topología.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 2. inicializar y volver a cargar los switches.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 3. configurar las direcciones IP en la PC-A, la PC-B y la PC-C.
Consulte la tabla de direccionamiento para obtener la información de direcciones de las
computadoras.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 4. configurar los parámetros básicos para cada switch.
a. Desactive la búsqueda del DNS.
b. Configure los nombres de los dispositivos como se muestra en la topología.
c. Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de VTY y la contraseña de consola, y habilite el inicio
de sesión para las líneas de vty y de consola.
e. Configure el inicio de sesión sincrónico para las líneas de vty y de consola.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 5. configurar las VLAN en cada switch.
a. Cree las VLAN y asígneles nombres según la tabla de asignaciones de VLAN.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
b. Configure la dirección IP que se indica para la VLAN 99 en la tabla de direccionamiento
en ambos switches.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
c. Configure F0/6 en el S1 como puerto de acceso y asígnelo a la VLAN 99.
d. Configure F0/11 en el S2 como puerto de acceso y asígnelo a la VLAN 10.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
e. Configure F0/18 en el S2 como puerto de acceso y asígnelo a la VLAN 99.
f. Emita el comando show vlan brief para verificar las asignaciones de VLAN y de
puertos.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 11 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
¿A qué VLAN pertenecería un puerto sin asignar, como F0/8 en el S2?
Se puede observar que en elcuadro de los puertos como en la F0/8 pertemenece
por defecto a la Vlan 1, entonces se puede determinar que todos los puertos son
asignados a la Vlan 1.
Paso 6. configurar la seguridad básica del switch.
a. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso
no autorizado.
b. Encripte todas las contraseñas.
c. Desactive todos los puertos físicos sin utilizar.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 12 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 13 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
c. Deshabilite el servicio web básico en ejecución.
S1(config)# no ip http server
S2(config)# no ip http server
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 14 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
d. Copie la configuración en ejecución en la configuración de inicio.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 15 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 7. verificar la conectividad entre la información de VLAN y los dispositivos.
a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración
del S1. ¿Tuvieron éxito los pings? ¿Por qué?
Si se pudo tener éxito al momento de realizar los ping en la PC-A, ya que se
encuentra en la misma VLAN que la administracion de administrador del switch
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 16 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
b. Desde el S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito
los pings? ¿Por qué?
La direccion Ip que se realizo ping tuvo falla, ya que la adminsitracion que se
encuentra en el switch S1 y S2 se encuentra en la misma VLAN, adema la interface
f0/1 se encuentra en cada uno, no se encuentra configurado como un puerto troncal.
c. En el símbolo del sistema de la PC-B, haga ping a las direcciones de
administración del S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings se
realizaron correctamente? ¿Por qué?
Los ping tuvieron fallas y no se pudo tener el traslado de información,ya que en el
ping de la PC-B hacia S1,S2 ademas de la PC-A y la PC-C y por ende la PC-B se
encuentra en la VLAN 10.No existe una correcta organización para el ruteo de redes
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 17 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
c. En el símbolo del sistema de la PC-C, haga ping a las direcciones de
administración del S1 y el S2. ¿Tuvo éxito? ¿Por qué?
El ping que se realizo en le switch S1 tuvo falla. Se debe tener en cuenta que la PC-C
se encuentra en la misma VLAN que S1 y S2 sin embargo a la PC-C esta en la
capacidad de realizar ping a la direccion de S2 mas no a las direcciones del
administrador de S1, por lo que tenemos en cuentra que el enlace de la troncal no se
ha configurado entre S1 y S2.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 18 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping
entre ellas.
Parte 2. implementar seguridad de VLAN en los switches
Paso 1. configurar puertos de enlace troncal en el S1 y el S2.
a. Configure el puerto F0/1 en el S1 como puerto de enlace troncal.
S1(config)# interface f0/1
S1(config-if)# switchport mode trunk
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 19 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
b. Configure el puerto F0/1 en el S2 como puerto de enlace troncal.
S2(config)# interface f0/1
S2(config-if)# switchport mode trunk
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 20 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
c. Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface
trunk en los dos switches.
S1# show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,99,999
Port Vlans in spanning tree forwarding state and not pruned Fa0/1
1,10,99,999
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 21 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 2. cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2.
Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace
troncal de la VLAN 1 a otra VLAN.
a. ¿Cuál es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2?
La VLAN nativa actual es la VLAN 1 para las interfaces F0/1 del S1 y S2
b. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99
Management&Native.
S1# config t
S1(config)# interface f0/1
S1(config-if)# switchport trunk native vlan 99
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 22 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
c. Espere unos segundos. Debería comenzar a recibir mensajes de error en la
sesión de consola del S1. ¿Qué significa el mensaje %CDP-4-
NATIVE_VLAN_MISMATCH:?
Detalla que la S1 y S2 tienen sus VLANS native no concordantes, S2 tiene la
VLAN en la Vlan 1 y S1 tiene la VLAN nativa en la VLAN 99.
d. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2.
S2(config)# interface f0/1
S2(config-if)# switchport trunk native vlan 99
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 23 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
e. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuación, se
muestra el resultado del S1.
S1# show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 99
Port Vlans allowed on trunk
Fa0/1 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,99,999
Port Vlans in spanning tree forwarding state and not pruned Fa0/1
10,999
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 24 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 3. verificar que el tráfico se pueda transmitir correctamente a través del enlace
troncal.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 25 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración
del S1. ¿Tuvieron éxito los pings? ¿Por qué?
Sí, los pings se realizaron correctamente. La PC-A está en la misma VLAN que la dirección
de administración del switch
b. En la sesión de consola del S1, haga ping a la dirección de administración del S2.
¿Tuvieron éxito los pings? ¿Por qué?
Sí, los pings se realizaron correctamente. Los enlaces troncales se establecieron
correctamente, y
ambos switches están en la VLAN 99.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 26 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
c. En el símbolo del sistema de la PC-B, haga ping a las direcciones de
administración del S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings
se realizaron correctamente? ¿Por qué?
Todos los pings de la PC-B al S1, el S2, la PC-A y la PC-C fallaron. La PC-B está en la
VLAN 10, y el S1,
el S2, la PC-A y la PC-C están en la VLAN 99. No hay ningún dispositivo de capa 3 para
enrutar entre las
redes.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 27 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
d. En el símbolo del sistema de la PC-C, haga ping a las direcciones de
administración del S1 y el S2, y a la dirección IP de la PC-A. ¿Tuvo éxito? ¿Por
qué?
Todos los pings de la PC-B al S1, el S2, la PC-A y la PC-C fallaron. La PC-B está en la
VLAN 10, y el S1,
el S2, la PC-A y la PC-C están en la VLAN 99. No hay ningún dispositivo de capa 3 para
enrutar entre las
redes.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 28 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 4. impedir el uso de DTP en el S1 y el S2.
Cisco utiliza un protocolo exclusivo conocido como “protocolo de enlace troncal dinámico”
(DTP) en los switches. Algunos puertos negocian el enlace troncal de manera automática.
Se recomienda desactivar la negociación. Puede ver este comportamiento predeterminado
mediante la emisión del siguiente comando:
S1# show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 29 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
a. Desactive la negociación en el S1.
S1(config)# interface f0/1
S1(config-if)# switchport nonegotiate
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 30 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
b. Desactive la negociación en el S2.
S2(config)# interface f0/1
S2(config-if)# switchport nonegotiate
c. Verifique que la negociación esté desactivada mediante la emisión del comando show
interface f0/1 switchport en el S1 y el S2.
S1# show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
<Output Omitted>
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 31 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Paso 5. implementar medidas de seguridad en los puertos de acceso del S1 y el S2.
Aunque desactivó los puertos sin utilizar en los switches, si se conecta un dispositivo a uno
de esos puertos y la interfaz está habilitada, se podría producir un enlace troncal. Además,
todos los puertos están en la VLAN 1 de manera predeterminada. Se recomienda colocar
todos los puertos sin utilizar en una VLAN de “agujero negro”. En este paso, deshabilitará
los enlaces troncales en todos los puertos sin utilizar. También asignará los puertos sin
utilizar a la VLAN 999. A los fines de esta práctica de laboratorio, solo se configurarán los
puertos 2 a 5 en ambos switches.
a. Emita el comando show interface f0/2 switchport en el S1. Observe el modo
administrativo y el estado para la negociación de enlaces troncales.
S1# show interface f0/2 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 32 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
b. Deshabilite los enlaces troncales en los puertos de acceso del S1.
S1(config)# interface range f0/2 – 5
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 33 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
c. Deshabilite los enlaces troncales en los puertos de acceso del S2.
d. Verifique que el puerto F0/2 esté establecido en modo de acceso en el S1.
S1# show interface f0/2 switchport
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 34 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
Name: Fa0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 999 (BlackHole)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
<Output Omitted>
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 35 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
e. Verifique que las asignaciones de puertos de VLAN en ambos switches sean las
correctas. A continuación, se muestra el S1 como ejemplo.
S1# show vlan brief
VLAN Name Status Ports
---- ------------------------------ --------- ------------------------------ 1 default
active Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 Data active
99 Management&Native active Fa0/6
999 BlackHole active Fa0/2, Fa0/3, Fa0/4, Fa0/5
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup Restrict VLANs allowed on trunk
ports.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 36 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 37 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
De manera predeterminada, se permite transportar todas las VLAN en los puertos de
enlace troncal. Por motivos de seguridad, se recomienda permitir que solo se
transmitan las VLAN deseadas y específicas a través de los enlaces troncales en la
red.
f. Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y 99.
S1(config)# interface f0/1
S1(config-if)# switchport trunk allowed vlan 10,99
g. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y 99.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 38 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
h. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo
EXEC privilegiado en el S1 y el S2
S1# show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 99
Port Vlans allowed on trunk
Fa0/1 10,99
Port Vlans allowed and active in management domain
Fa0/1 10,99
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 10,99
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 39 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 40 de 41
�Práctica de laboratorio: implementación de seguridad de VLAN
¿Cuál es el resultado?
Se puede evidenciar que unicamente las VLAN 10 y la VLAN 99 estan permitidas sobre
el enlace troncal entre los switches S1 y S2
Reflexión
¿Qué problemas de seguridad, si los hubiera, tiene la configuración predeterminada
de un switch Cisco?
Se puede indentificar que los puertos fueron asignados a la VLAN q por defecto,
convirtiendose en un problema de seguridad para la configuracion y en muchos Switches
las lienas se encuentran en modo iniciación y estas troncales pueden ser encendidas sin
autorización lo que se puede determinar como seguridad.Ecistiendo asi mismo el problema
de lo que es el tema de la encriptación de password al encontrarse de la forma de texto
plano
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 41 de 41
